Что такое цифровая (или компьютерная) криминалистика
В январском номере издания Chief Security Officer опубликована статья Дж. Фрулигера, посвященная малоизученному вопросу цифровой (компьютерной) криминалистике - digital forensics.
Автор дает такое определение предмета: «научно-техническое расследование преступлений в сфере цифровых технологий, включая хакерские атаки».
Другой специалист, Ясон Джордан, предлагает свой вариант: «Идентификация, фиксирование, изучение, анализ цифровых свидетельств (улик, следов) с использованием законных и научно приемлемых способов с целью передачи полученных данных в судебные органы для рассмотрения в ходе судебного процесса».
Некоторые эксперты называют это направление деятельности кратко - «расследование компьютерных инцидентов безопасности». В англоязычном интернете можно найти журнал, посвященный этим вопросам: (http://www.digitalforensicsmagazine.com/). Вышло 38 номеров.
В 70-80 годы прошлого столетия компьютерными расследованиями занимались, в основном, правоохранительные органы применительно к двум сферам криминала - детской порнографии и терроризму. В конце века digital forensics получает распространение и в частном секторе как ответ на появление хакеров. Первые упоминания о хакерах в печати датируются концом восьмидесятых.
К настоящему времени сфера digital forensics обросла специалистами и даже школами. Существуют разные модели компьютерных расследований. Все они, пишет Фрулигер, базируются на следующих фундаментальных принципах:
Сбор цифровых данных с использованием интернет технологий. Он предполагает наличие в распоряжении расследователей физических дивайсов – компьютеров, телефонов, смартфонов, жестких дисков с данными, которые надо оберегать от порчи или исчезновения. Желательно все данные, которые предполагается изучить, предварительно скопировать, работать с копиями, храня оригинальные носители для представления в суд или заказчику расследования.
Первичное ознакомление и изучение данных предусматривает решение ряда предварительных вопросов, например, как работать с данными - непосредственно в компьютере (смартфоне) или же путем переноса на другой носитель для изучения в специальной лаборатории. На этом этапе выясняется, какое отношение к расследуемому делу имеют обнаруженные данные.
Анализ данных с точки зрения того, подтверждают ли они предполагаемое преступление или нет. Расследователи должны ответить на базовые вопросы. Кто автор данных? Кто уже с ними работал? Когда случился инцидент? Другими словами, определить, какое значение имеют изучаемые данные для раскрытия преступления, для формирования доказательной базы.
Отчет, в котором данные и анализ излагаются в формате, доступном понимаю неспециалистов. Это очень важно и зачастую трудно, так как требует определенного искусства излагать профессиональные вещи понятным языком.
Область digital forensics выработала определенные инструменты, с помощью которых проводится анализ:
- жестких компьютерных дисков и мобильных носителей;
- компьютерных файлов;
- интернет сайтов;
- электронной почты;
- корпоративных компьютерных сетей;
- баз данных.
Digital forensics преподается как самостоятельная дисциплина в ряде американских университетов: Purdue University, The School of Business and Justice Studies at Utica College, Champlain College, The University of Maryland.
Должность специалиста по digital forensics в штатном расписании компаний обычно формулируется как «расследователь» или «аналитик».
Некоторые крупные корпорации создают собственные отделы (лаборатории), специализирующиеся исключительно на вопросах digital forensics.
Зарплата такого специалиста в США – от 45 до 115 тысяч долларов в год.
|